スピアフィッシングとは？手口とその対策について解説

スピアフィッシングという言葉をご存じでしょうか？
スピアフィッシングは不特定多数をターゲットとする通常のフィッシングとは異なり、特定の個人や組織をターゲットとしたフィッシング攻撃であり、標的型攻撃の手法の1つです。 近年では、スピアフィッシングの手口がより巧妙化しており、その被害も増加傾向になっています。そのため、企業としてもこうした脅威があることを認識し、対策方法を理解しておく必要があります。
本コラムでは、スピアフィッシングの手口とその対策についてわかりやすく解説します。

スピアフィッシングとは？

スピアフィッシングは、特定の個人や組織を狙った巧妙なフィッシング攻撃のことです。特定の個人や組織に関する情報を収集し、狙いすました攻撃を行うため通常のフィッシングよりも攻撃が成功する確率が高いという特徴があります。
そもそも、フィッシング攻撃は1990年代ころから見られるようになったと言われており、このころはまだ不特定多数を狙った通常のフィッシング攻撃が主流でした。 その後、2000年代に入り企業や政府機関を狙う、標的を絞ったスピアフィッシング攻撃が見られるようになったと言われています。

また、スピアフィッシングは特定の個人や組織をターゲットとしておりますが、その中でも企業の経営幹部やCEOなどの上層部をターゲットとした「ホエーリング」と呼ばれる攻撃もあります。
ホエーリングを行う攻撃者は、スピアフィッシングより大規模な金銭的利益や機密情報を狙っており、メールの内容などもより洗練されている傾向があります。攻撃者は、SNSや企業サイト、役員の経歴などを詳細に調べ上げ、役職や日常業務の特性を利用した巧妙な攻撃を仕掛けてきます。
なお、ホエーリングは通常の攻撃より大きな獲物を狙うことから「クジラ漁」を意味してホエーリング（捕鯨）と呼ばれています。

フィッシング攻撃の報告件数は増加傾向

フィッシング対策協議会によれば、2024年1月から12月までのフィッシング報告件数は過去最高の1,718,036件となっており、2019年の55,787件と比較すると約30倍と驚異的に増加しています。また、2023年の1,196,390件から44%増加しており、増加傾向が続いています。

（参考：フィッシング対策協議会　フィッシングレポート 2025）

（参考：フィッシング対策協議会 月次報告書を元に当社にて作成 https://www.antiphishing.jp/report/monthly/）

このように、フィッシングの報告件数は年々増加しており、今後も増加していくことが想定されます。そのため、通常のフィッシングに注意することはもちろん、巧妙な手口を使って情報の窃取を狙うスピアフィッシングについては、企業の機密情報漏洩や個人情報の窃取などの深刻な問題を引き起こす可能性が高いため、特に警戒が必要です。

フィッシングとスピアフィッシングの違い

通常のフィッシングが不特定多数をターゲットにした攻撃に対し、スピアフィッシングは特定の個人や組織を狙ったアプローチです。この手法では、ターゲットに関する詳細な情報を収集し、信頼性の高いメッセージを送ることで、メール受信者を騙そうとします。

スピアフィッシングの流れと最新の手口

スピアフィッシングの流れ

ここでは一般的なスピアフィッシングの流れについてご紹介します。

1. ターゲットの選定

攻撃者は、特定の個人や組織を標的として選びます。

2. 情報収集

攻撃者は、標的となる個人や組織の情報を収集しながらどのような攻撃が有効なのか計画を練っていきます。収集される情報としては、ソーシャルメディアやWebサイト、企業情報などの公開情報から収集します。また、ソーシャルエンジニアリングという手法を使い、電話でのなりすましや、ゴミ箱から廃棄書類を入手するなど、技術的な手段以外でも情報を集めるケースがあります。

3. 偽装メールの作成

収集した情報をもとに、信頼できる個人や組織からのメッセージに見せかけた偽装メールを作成します。

4. メールやSMSの送信

作成した偽装メールを標的に送信します。その際、マルウェアを組み込んだ添付ファイルや不正なウェブサイトへ誘導するリンクを設定しておきます。

5. 攻撃の実行

標的がメールの添付ファイルを開いたり、リンクをクリックすると、マルウェアが実行されたり、攻撃者の用意したフィッシングサイトに誘導されます。

6. データの窃取など

マルウェアが端末にアクセスして重要データを窃取したり、フィッシングサイトで入力された情報を攻撃者が不正に入手します。

スピアフィッシングを見抜くために

個人を標的としたこの手口は、従来のフィッシングよりも巧妙であるため、気付くことが困難である場合が多いです。しかしながら、以下のような点に注意することで、攻撃であると見抜ける可能性があります。

1. 差出人のメールアドレスを確認する

本当に信頼できる送信元からのメールなのか、疑わしい点がないか、メールアドレスに少しでも違っている箇所がないかなどについて注意深く確認しましょう。

2. メールの内容に怪しい点はないか

メール本文に機密情報の要求や緊急性を促す文言が含まれている場合には注意が必要です。また、誤字や不自然な言い回しがないかも合わせて確認するよう意識しましょう。

3. URLや添付ファイルに問題はないか

メール内のリンクにカーソルを合わせて、URLが正規のものかどうかを確認する。怪しいメールの添付ファイルは不用意に開かないなどの基本も徹底しましょう。
最近では、URLの代わりにQRコードが利用されるケースもあるため、注意しましょう。

4. 疑わしい場合は電話等で確認する

少しでも怪しいと感じた場合は、情報の正確性を他の手段（電話、公式ウェブサイトなど）で二重にチェックするのも有効な対策になります。 その他、メール本文に自身の個人情報が含まれすぎているような場合もスピアフィッシングの可能性があるため、注意しましょう。

企業が実施すべきスピアフィッシング対策とは？

スピアフィッシング対策は、技術的な対策と従業員教育を組み合わせた多層的な防御が必要です。

1. 従業員へのセキュリティ教育

定期的なセキュリティ教育を通じて最新のフィッシングメールの手口や、その対策について教育することが重要です。また、攻撃メール訓練等による実践的なトレーニングも従業員がリアルな攻撃を体験することができ、警戒心を高めてもらうのに有効です。

2. 多要素認証の導入

IDとパスワードだけでなく、スマートフォンへの認証コード送信や生体認証などを組み合わせる多要素認証を導入することで、万が一パスワードが盗まれても不正アクセスを防ぐことができます。

3. メールフィルタリングの強化

メールサーバー側で不審なドメインからのメールを自動的にブロックしたり、フィッシングの危険度を判定して警告を表示するシステムを導入することで、従業員が攻撃メールを受信する前に防ぐことができます。

4. エンドポイントセキュリティの導入

万が一マルウェアが侵入した場合でも、エンドポイントセキュリティソリューションがマルウェアの動作を検知し、被害を最小限に抑えることができます。

ALSOKでは「ALSOK 標的型攻撃メール訓練」というメール訓練サービスを提供しています。スピアフィッシングは通常のフィッシングよりも手口が巧妙であり、簡単に気付くことは難しいですが、こうした攻撃があることを事前に知っていれば受信者自身で必要な対策をとることが可能です。 定期的にメール訓練を実施し、フィッシングメールに対する従業員のリテラシーを向上させ、情報漏えいなどのリスクを未然に防止できるような体制を作っていきましょう。

まとめ

※「QRコード」は、株式会社デンソーウェーブの登録商標です。